Autor: Tomáš Přibyl, externí odborný redaktor ICTsecurity

Mnohé organizace se jich bojí jako čert kříže. Jistá česká instituce dokonce svého času nechala příslušné zdířky ve svých zařízeních „zamáznout“ betonem, protože je nebyla schopná na odpovídající úrovni ohlídat. Řeč je o USB flash discích.

Výhody i rizika

Velkou výhodou – a zároveň bezpečnostním rizikem – je malý rozměr USB flash disků, zároveň jejich velká datová kapacita a v neposlední řadě také dostupnost. Čehož se samozřejmě dá zneužít i k neoprávněnému kopírování dat. Nehledě na možnost „zanesení“ škodlivého kódu do systému: dnes představuje malware zneužívající právě USB flash disků něco mezi deseti a dvaceti procenty celosvětového objemu. Mimochodem, nepřipomíná Vám to „dobu disketovou“?

Z bezpečnostního hlediska musíme řešit především skutečnost, že USB flash disky nejsou trvale připojené k systému, že se pohybují po světě – a že se čas od času ztrácí nebo jsou odcizeny.

Je přitom zapotřebí bezpečnost „rozklíčovat“ na několik podkategorií, které musíme řešit samostatně. Jednak je to autorizace zařízení přistupujících do systému: je více než vhodné, aby se přihlašovat mohly pouze oprávněné jednotky, a ne kdejaké. Jednak je to ochrana před neoprávněným kopírováním dat – předchozí bod toto neřeší, protože umožňuje útočníkovi odnést data na autorizovaném zařízení. A třetí otázka: je nutné zajistit ochranu dat v případě ztráty hardware (se kterou je u USB flash disků nutné počítat).

Krok první: autorizace zařízení

Takže pěkně po pořádku: autorizovat zařízení není vůbec jednoduché. Respektive se dá říci, že je to nejobtížnější část celého procesu zajištění bezpečnosti USB flash disků. Systém by měl podle nějakého atributu poznat, že jde o autorizované zařízení. A v opačném případě ho odmítnout.

Jak toho docílit? Ideálně instalací nějakého software či certifikátu přímo na USB flash disky. Lokální počítač si pak může předkládané přihlašovací informace ověřit sám nebo třeba s pomocí nějaké centrální databáze (kam přihlašovací data odešle a rozhodnutí přenechá vyšší autoritě).

V poslední době se těší čím dál vyšší oblibě USB Flash disky s vestavěnými biometrickými čtečkami otisků prstů. Tím dosáhneme dalšího stupně ochrany: jak pro manipulaci s uloženými daty, tak pro připojování do systému (které může provést jen oprávněná osoba).

Krok druhý: ochrana dat

Druhým okruhem je ochrana proti neoprávněnému kopírování. Tuto otázku je zapotřebí řešit jinak, než na úrovni USB flash disku. Je nutné ji ošetřit na úrovni systému, protože jde o základní problém manipulace s daty – a je lhostejno, zdali k jejich pohybu dochází uvnitř nebo vně sítě. Zdali jsou posílané e-mailem nebo kopírované na USB disk. Je nutné data roztřídit do příslušných kategorií (což s sebou nese nemálo práce) a následně je v nich udržet (což s sebou nese ještě více práce).

To nám ostatně připomíná, že ne vše je technologická otázka. Byť se nás marketing mnoha společností dodávajících technologie snaží častokrát přesvědčit o opaku („kupte, nasaďte a zapomeňte“), není to vůbec pravda. Bezpečnost dat je především o správně nastavené politice a organizační stránce věci. Rozhodně se snažte vyhnout spoléhání se na uživatele – i když do určité míry se mu nevyhnete nikdy, snažte se jej co nejvíce eliminovat. Uvědomte si, že škoda vzniklá nesprávným chováním může být vpravdě astronomická, ale její praktická vymahatelnost je minimální.

Proto v poslední době zažívá boom technologie označovaná jako Data Loss Prevention (DLP) či Anti-Data-Leakage (ADL). V této oblasti existují různá řešení, ale princip jejich fungování je stejný nebo velmi podobný. Zpravidla se skládají z centrální řídící konzole a z agentských aplikací na koncových stanicích. Data na počítačích, serverech a dalších úložištích jsou přitom na počátku označena speciálními vizitkami. Dále jsou jednotlivým uživatelům a systémům přidělena příslušná práva. DLP/ADL pak porovnává informace na vizitkách s příslušnými právy: zdali má dotyčný subjekt možnost data prohlížet, kopírovat, manipulovat s nimi apod. Jakákoliv jiná operace je blokována. Výhodou technologie DLP/ADL je, že je platformově nezávislá. Nejde jen o platformu ve smyslu operačního systému, ale o to, že je lhostejné, jakým způsobem má/může k úniku dat dojít.

Krok třetí: ochrana před ztrátou

Jedinou známou možností ochrany dat před neoprávněnou manipulací pokud se už ocitnout se ztraceným hardwarem v neoprávněných rukách, je šifrování. Útočník pak získává přístup jen k datům v podobě „rozsypaného čaje“, ale už z nich nezíská informace. V případě USB flash disků je vhodné šifrování on-line (tedy průběžně) nebo off-line (před započetím práce s daty nebo po jejich skončení), méně již on-demand (na vyžádání). I když i jeho použití je za určitých okolností možné. Šifrování by každopádně mělo být vynucené: spoléhat se na dobrou vůli uživatelů je v bezpečnostní politice přinejmenším odvážné.